Как и обещали, пишем о последних двух дня конференции.
Все материалы по MacSysAdmin 2017 (кроме выступлений спикеров Apple) можно найти на сайте http://docs.macsysadmin.se/2017/
Что советуем почитать
– OS State of the Union
– Introducing Munki 3
– Demystifying MDM: open source endeavours to manage Macs
– Apple’s Unified Logging for Sysadmins
– Security
– Dive into APFS
– NoMAD and the future of Directory Services
– NoLo – Controlling the Login Window withNoMAD Login
– So, how does this work?
– (Code) Signed, Sealed and Delivered
– Audīte alteram partem
День третий и четвертый
Безопасность в образовательных учреждениях
В Oxford University такими вещами занимается отдельная команда, Computer Security Incident Response Team, отвечающая на вопросы безопасности. Главная цель таких команд – уменьшить риски потерь в случае инцидентов, связанных с безопасностью, предоставлять консультации по вопросам зашиты и восстановления данных. А также вести работу по предотвращению будущих инцидентов.
При таких масштабах приходится говорить об отдельных системах, предназначенных для хранения и работы с логами, анализом трафика, отчетами – https://elastic.co
С другой стороны требуются инструменты по работе с инцидентами, сбору информации, разработкой механизмов защиты – https://bestpractical.com/rtir/
Сетевая безопасность в Oxford не базируется на принципах закрытой внутренней сети:
– университет выступает как своего рода провайдер для всех колледжей и департаментов
– внешний Firewall не используется
– пользовательские сервисы доступны через интернет
Большая часть всех прецедентов – это вредоносный код и несанкционированный доступ. Поэтому с пользователями ведется работа по элементарным мерам безопасности: сложность пароля, фишинг, использование учетных записей администраторов.
Безопасность в iOS и macOS
Мы не можем писать о содержаний выступлений спикеров Apple, но постараемся передать общие настроения.
Безопасность iOS постоянно совершенствуется, в последних моделях iPhone используются несколько уровней защиты, как на файловом уровне, так и на уровне железа. Для работы с ключами используется отдельный процессор, Security Enclave, который изолирован от системы.
Тенденции таковы, что macOS в плане безопасности потихоньку движется в сторону iOS, но насколько это реализуемо – сейчас сказать сложно. Вполне вероятно, что внедрение APFS – это не только желание модернизировать файловую систему для macOS, но и дополнительный функционал для обеспечния безопасности (и это уже используется в iOS).
Еще раз про APFS от OWC
APFS, безусловно, современная файловая система. Однако ее предназначение – это безопасность ваших данных. Производительность на SSD не сильно отличается от APFS, а использование на вращающихся дисках – не самое лучшее решение, так как все APFS, по сути, записывает на диск только изменения файлов, которые в итоге оказываются разбросаны по всему накопителю. Обычный HDD с такими данными работает очень медленно.
APFS поддерживает нативное шифрование, но работает очень медленно, около 6ГБ в минуту.
APFS позволяет делать снимки файловой системы. Вы можете сделать снимок прямо из macOS и в случае надобности загрузиться в Recovery и откатиться на выбранный снимок.
При всем при этом, рекомендуется не отказываться от бэкапов рабочей системы с APFS.
Будущее автоматизации от Сала Согояна
macOS все больше превращается в iOS и с каждым годом ограничений в системе все больше. Сал теперь работает в Omnigroup и у него свои взгляды на будущее автоматизаций на Mac. Если Apple запрещает – нужно идти обходным путем, налаживая общение между приложениями напрямую, используя стандартные инструменты Webkit: JavaScript, CSS3, HTML5. На выступлении ограничились примерами из OmniGraffle и OmniOutliner, но подобные идеи можно реализовать и в других программах.
NoMAD и будущее Directory Services
Год назад Joel Rennich представил на обозрение приложение NoMAD, позволяющее использовать Single Sign On на Mac без ввода в домен. Приложение стало популярно в среде администраторов Mac, так как это упрощает механизм взаимодействия Mac с Directory Services. В октябре вышла версия 1.1 и вот, что там нового:
– отдельный файл настроек для сетевых томов
– автоматическое монтирование томов
– доступные тома отображаются в зависимости от того, имеет ли пользователь доступ к ним
– рекурсивный поиск по группам AD
В следующем году планируется выпуск NoMAD 2.0
Терминальные утилиты и мониторинг Mac
Хороший администратор Mac должен знать, что Gatekeeper можно обойти и понимать, что такое Code Signing в macOS.
Выступают известные люди: Edward Marczak из Google (Apple Training Series: Mac OS X Advanced System Administration v10.5A, Enterprise Mac Managed Preferences) и Jonathan Levin из Technogeeks (MacOS and iOS Internals, Volume III: Security & Insecurity).
Интересно, что в macOS можно включить принудительную проверку подписей приложений и бинарных файлов. В итоге вы сможете запускать в системе только те приложения, подписи которых ведут в Apple. Что и говорить, смотрите презентацию Джонатана на сайте – много всего интересного – http://docs.macsysadmin.se/2017/video/Day4Session3.mp4